- •Образ мышления – дизассемблер ida Pro том I описание функций встроенного языка ida Pro Аннотация
- •Введение. Об этой книге
- •Версии ida Pro
- •Кратное введение в дизассемблирование
- •Первые шаги с ida Pro
- •Язык скриптов ida Си
- •Консоль
- •Функции, объявление функций, аргументы функции, возвращаемое значение
- •Объявление переменных, типы переменных, преобразования переменных
- •Директивы
- •If, else;
- •Архитектура страничной памяти
- •Взаимодействие с физической памятью
- •Навигатор по функциям
- •Сводная таблица функций
- •Long Byte (long ea)
- •Long Word (long ea)
- •Long Dword (long ea)
- •Void PatchByte (long ea, long value)
- •Void PatchWord (long ea,long value)
- •Void PatchDword (long ea,long value)
- •Long NextAddr (long ea)
- •Long PrevAddr (long ea)
- •Long GetFlags(long ea)
- •Void SetFlags(long ea)
- •Long FindBinary(long ea,long flag,char str)
- •Сегменты и селекторы #Definition
- •Навигатор по функциям
- •Сводная таблица функций
- •Long mk_fp (long seg,long off)
- •Char atoa(long ea)
- •Success SegCreate(long startea,long endea,long base,long use32,long align,long comb)
- •Success SegDelete(long ea,long disable)
- •Success SegBounds(long ea,long startea,long endea,long disable)
- •Long SegStart(long ea)
- •Long SegEnd(long ea)
- •Long SegByName(char segname)
- •Long SegByBase(long base)
- •Success SegRename(long ea,char name)
- •Success SegAddrng(long ea,long use32)
- •Success SegAlign(long ea,long alignment)
- •Success SegComb(long segea,long comb)
- •Success SegClass(long ea,char class)
- •Success SegDefReg(long ea,char reg,long value)
- •Success SetSegmentType (long segea,long type)
- •Long GetSegmentAttr(long segea,long attr)
- •Char SegName(long ea)
- •Long FirstSeg()
- •Long NextSeg(long ea)
- •Void SetSelector(long sel,long value)
- •Void DelSelector(long sel)
- •Long AskSelector(long sel)
- •Long FindSelector(long val)
- •Элемемены #Defenition
- •Навигатор по функциям
- •Сводная таблица функций
- •Long ItemSize(long ea)
- •Long ItemEnd(long ea)
- •Long NextHead(long ea)
- •Long NextHead(long ea, long maxea)
- •Long PrevHead(long ea)
- •Long PrevHead(long ea, long minea)
- •Long NextNotTail(long ea)
- •Long PrevNotTail(long ea)
- •Типы элементов #Definition
- •Навигатор по функуциям
- •Сводная таблица функций
- •Success MakeByte(long ea)
- •1. Эксперимент
- •2. Эксперимент
- •3. Эксперимент
- •4. Эксперимент
- •Success MakeWord(long ea)
- •1. Эксперимент
- •2. Эксперимент
- •Success MakeDword(long ea)
- •1. Эксперимент
- •2. Эксперимент
- •Success MakeQword(long ea)
- •Success MakeFloat(long ea)
- •Success MakeDouble(long ea)
- •Success MakePackReal(long ea)
- •Success MakeTbyte(long ea)
- •Success MakeStr(long ea,long endea)
- •Success MakeArray(long ea,long nitems)
- •Success MakeAlign(long ea,long count,long align)
- •Long MakeCode (long ea)
- •Char GetMnem(long ea)
- •Void MakeUnkn(long ea,long expand)
- •1. Эксперимент
- •2. Эксперимент
- •3. Эксперимент
- •Long FindCode(long ea,long flag)
- •Long FindData(long ea,long flag)
- •Long FindExplored(long ea,long flag)
- •Long FindUnexplored(long ea,long flag)
- •Операнды #definition
- •Сводная таблица функций
- •Success OpBinary(long ea,int n)
- •Success OpOctal(long ea,int n)
- •Success OpDecimal(long ea,int n)
- •Success OpHex(long ea,int n)
- •Success OpChr(long ea,int n)
- •1. Эксперимент
- •2. Эксперимент
- •Success OpNumber(long ea,int n)
- •Success OpOff(long ea,int n,long base)
- •Success OpOffEx(long ea,int n,long reftype,long target,long base,long tdelta)
- •Success OpSeg(long ea,int n)
- •Success OpAlt(long ea,long n,char str)
- •Success OpSign(long ea,int n)
- •Success OpStkvar(long ea,int n)
- •Char GetOpnd(long ea,long n)
- •Char AltOp (long ea,long n)
- •Long GetOpType (long ea,long n)
- •LongGetOperandValue(long ea,long n)
- •Long FindVoid (long ea,long flag)
- •Long FindImmediate(long ea,long flag,long value)
- •Объекты #Definition
- •Сводная таблица функций
- •Success MakeName(long ea,char name)
- •Success MakeComm(long ea,char comment)
- •Success MakeRptCmt(long ea,char comment)
- •Void ExtLinA(long ea,long n,char line)
- •Void ExtLinB(long ea,long n,char line)
- •Void DelExtLnA(long ea,long n)
- •Void DelExtLnB(long ea,long n)
- •Void MakeVar(long ea)
- •Char Name(long ea)
- •Char GetTrueName(long ea)
- •Char Comment(long ea)
- •Char RptCmt(long ea)
- •Char LineA(long ea,long num)
- •Char LineB(long ea,long num)
- •Long LocByName(char name)
- •Функции #Definition
- •Сводная таблица функций
- •Success MakeFunction(long start,long end);
- •Success DelFunction(long ea);
- •Success SetFunctionEnd(long ea,long end);
- •Long NextFunction(long ea);
- •Long PrevFunction(long ea)
- •Long GetFunctionFlags(long ea);
- •Func_noret
- •Func_far
- •Func_lib
- •Func_frame
- •Func_userfar
- •Func_hidden
- •Success SetFunctionFlags(long ea,long flags);
- •Char GetFunctionName(long ea);
- •Void SetFunctionCmt(long ea, char cmt, long repeatable);
- •Char GetFunctionCmt(long ea, long repeatable);
- •Long ChooseFunction(char title);
- •Char GetFuncOffset(long ea);
- •Long FindFuncEnd(long ea);
- •Long GetFrame(long ea);
- •Long GetFrameLvarSize(long ea);
- •Long GetFrameRegsSize(long ea);
- •Long GetFrameArgsSize(long ea);
- •Long GetFrameSize(long ea);
- •Long MakeFrame(long ea,long lvsize,long frregs,long argsize);
- •Long GetSpd(long ea);
- •Long GetSpDiff(long ea);
- •Success SetSpDiff(long ea,long delta);
- •Success MakeLocal(long start,long end,char location,char name)
- •Success SetReg (long ea,char reg,long value);
- •Long GetReg (long ea,char reg);
- •Перекрестные ссылки что такое перекрестные ссылки?
- •Alma mater
- •Архитектруа перекрестных ссылок
- •Хранение перекрестных ссылок
- •Void AddCodeXref(long From,long To,long flowtype);
- •Long DelCodeXref(long From,long To,int undef);
- •Long Rfirst (long From);
- •Long Rnext (long From,long current);
- •Long RfirstB (long To);
- •Long RnextB (long To,long current);
- •Long Rfirst0 (long From);
- •Long Rnext0 (long From,long current);
- •Long RfirstB0(long To);
- •Long RnextB0 (long To,long current);
- •Void add_dref(long From,long To,long drefType);
- •Dr_o - Смещение (Offset)
- •Dr_w Запись (Write)
- •Dr_r Чтение (Read)
- •Void del_dref(long From,long To);
- •Long Dfirst (long From);
- •Long Dnext (long From,long current);
- •Long DfirstB (long To);
- •Long DnextB (long To,long current);
- •Long XrefType(void);
- •XrefType()
- •Точки входа архитектура точек входа
- •Long GetEntryPointQty(void);
- •Success AddEntryPoint(long ordinal,long ea,char name,long makecode);
- •Long GetEntryOrdinal(long index);
- •Long GetEntryPoint(long ordinal)
- •Success RenameEntryPoint(long ordinal,char name);
- •Структуры alma mater
- •Архитектура структур в ida
- •Long GetStrucQty(void);
- •Long GetFirstStrucIdx(void);
- •Long GetLastStrucIdx(void);
- •Long GetNextStrucIdx(long index);
- •Long GetPrevStrucIdx(long index);
- •Long GetStrucId(long index);
- •Long GetStrucIdx(long id);
- •Long GetStrucIdByName(char name);
- •Char GetStrucName(long id);
- •Char GetStrucComment(long id,long repeatable);
- •Long GetStrucSize(long id);
- •Long GetMemberQty(long id);
- •Long GetStrucNextOff(long id,long offset);
- •Long GetStrucPrevOff(long id,long offset);
- •Long GetFirstMember(long id);
- •Long GetLastMember(long id);
- •Char GetMemberName(long id,long member_offset);
- •Char GetMemberComment(long id,long member_offset,long repeatable);
- •Long GetMemberSize(long id,long member_offset);
- •Long GetMemberStrId(long id,long member_offset);
- •Long AddStrucEx(long index,char name,long is_union);
- •Long IsUnion(long id);
- •IsUnion(
- •IsUnion(
- •Success DelStruc(long id);
- •Long SetStrucIdx(long id,long index);
- •0000 Struc_11 ends
- •0000 Union_13 ends
- •Long SetStrucName(long id,char name);
- •Long SetStrucComment(long id,char comment,long repeatable);
- •Long AddStrucMember(long id,char name,long offset,long flag, long typeid,long nbytes);
- •0001 MyMember4 db ?
- •Long DelStrucMember(long id,long member_offset);
- •0000 MyMember_1 dw 4 dup(?)
- •0009 Field_9 dw ?
- •Long SetMemberName(long id,long member_offset,char name);
- •Long SetMemberType(long id,long member_offset,long flag,long typeid,long nitems);
- •Long SetMemberComment(long id,long member_offset,char comment,long repeatable);
- •Перечисления alma mater
- •Архитектура перечислений
- •Long GetEnumQty(void);
- •Long GetnEnum(long idx);
- •Long GetEnumIdx(long enum_id);
- •Long GetEnum(char name);
- •Char GetEnumName(long enum_id);
- •Char GetEnumCmt(long enum_id,long repeatable)
- •Long GetEnumSize(long enum_id);
- •Long GetEnumFlag(long enum_id);
- •Long GetConstByName(char name);
- •Long GetConstValue(long const_id);
- •Char GetConstName(long const_id);
- •Char GetConstCmt(long const_id,long repeatable);
- •Long AddEnum(long idx,char name,long flag);
- •Void DelEnum(long enum_id);
- •Success SetEnumIdx(long enum_id,long idx);
- •Fixup alma mater
- •Long GetNextFixupEa(long ea);
- •Long GetPrevFixupEa(long ea);
- •Long GetFixupTgtType(long ea);
- •Long GetFixupTgtSel(long ea);
- •Long GetFixupTgtOff(long ea);
- •Long GetFixupTgtDispl(long ea);
- •Void SetFixup(long ea,long type,long targetsel,long targetoff,long displ);
- •Void DelFixup(long ea);
- •Void DeleteAll ();
- •Long AnalyseArea (long sEa,long eEa);
- •Void AutoMark (long ea,long queuetype);
- •Void AutoMark2 (long start,long end,long queuetype);
- •Long FindText (long ea,long flag,long y,long X,char str);
- •Char Demangle(char name, long disable_mask)
- •Взаимодействие с пользователем alma mater
- •Char AskStr (char defval,char prompt);
- •Char AskFile (long forsave,char mask,char prompt);
- •Long AskAddr (long defval,char prompt);
- •Long AskLong (long defval,char prompt);
- •Long AskSeg (long defval,char prompt);
- •Char AskIdent (char defval,char prompt);
- •Long AskYn (long defval,char prompt);
- •Void Message (char format,...);
- •Void Warning (char format,...);
- •Void Fatal (char format,...);
- •Long ScreenEa ();
- •Long SelStart ();
- •Long SelEnd ();
- •Success Jump (long ea);
- •Void Wait ();
- •Long AddHotkey(char hotkey, char idcfunc);
- •Success DelHotkey(char hotkey);
- •Маркировка позиций для быстрого перемещения методы
- •Void MarkPosition(long ea,long lnnum,long X,long y,long slot,char comment);
- •Long GetMarkedPos(long slot);
- •Char GetMarkComment(long slot);
- •Генерация выходных фАйлов
- •Int GenerateFile(long type, long file_handle, long ea1, long ea2, long flags);
- •Файловый ввод – вывод
- •Long fopen (char file,char mode);
- •Void fclose (long handle);
- •Long filelength (long handle);
- •Long fseek (long handle,long offset,long origin);
- •Long ftell (long handle);
- •Success loadfile (long handle,long pos,long ea,long size);
- •Success savefile (long handle,long pos,long ea,long size);
- •Long fgetc (long handle);
- •Long fputc (long byte,long handle);
- •Long fprintf (long handle,char format,...);
- •Long readshort (long handle,long mostfirst);
- •Long readlong (long handle,long mostfirst);
- •Long writeshort (long handle,long word,long mostfirst);
- •Long writelong (long handle,long dword,long mostfirst);
- •Char readstr (long handle);
- •Long writestr (long handle,char str);
- •Виртуальные массивы организация массивов
- •Long CreateArray(char name);
- •Long GetArrayId(char name);
- •Success RenameArray(long id,char newname);
- •Void DeleteArray(long id);
- •Success SetArrayLong(long id,long idx,long value);
- •Success SetArrayString(long id,long idx,char str);
- •Char or long GetArrayElement(long tag,long id,long idx);
- •Success DelArrayElement(long tag,long id,long idx);
- •Long GetFirstIndex(long tag,long id);
- •Long GetLastIndex(long tag,long id);
- •Long GetNextIndex(long tag,long id,long idx);
- •Long GetPrevIndex(long tag,long id,long idx)
- •Ассоциативные массивы об ассоциативных массивах
- •Архитектура ассоциативных массивов
- •Success SetHashLong(long id,char idx,long value);
- •Success SetHashString(long id,char idx,char value);
- •Long GetHashLong(long id,char idx);
- •Char GetHashString(long id,char idx);
- •Success DelHashElement(long id,char idx);
- •Char GetFirstHashKey(long id);
- •Char GetLastHashKey(long id);
- •Char GetNextHashKey(long id,char idx);
- •Char GetPrevHashKey(long id,char idx);
- •Операции с глобальными настройками методы
- •Настойки ida
- •Inf_version
- •Inf_procname
- •Inf_lflags
- •Inf_demnames
- •Inf_filetype
- •Inf_ostype
- •Inf_apptype
- •Inf_start_sp
- •Inf_start_af
- •Inf_start_ip
- •Inf_begin_ea
- •Inf_high_off
- •Inf_maxref
- •Inf_ascii_break
- •Inf_indent
- •Inf_comment
- •Inf_xrefnum
- •Inf_entab
- •Inf_voids
- •Inf_showauto
- •Inf_auto
- •Inf_border
- •Inf_null
- •Inf_showpref
- •Inf_prefseg
- •Inf_asmtype
- •Inf_baseaddr
- •Inf_xrefs
- •Inf_binpref
- •Inf_cmtflag
- •Sw_rptcmt
- •Sw_allcmt
- •Sw_nocmt
- •Inf_nametype
- •Inf_showbads
- •Inf_prefflag
- •Inf_packbase
- •Inf_asciiflags
- •Inf_listnames
- •Inf_start_ss
- •Inf_start_cs
- •Inf_main
- •Inf_short_dn
- •Inf_long_dn
- •Inf_datatypes
- •Inf_strtype
- •Success SetPrcsr (char processor);
- •Long Batch (long batch);
- •Char GetIdaDirectory ();
- •Char GetInputFile ();
- •Char substr (char str, long x1,long x2);
- •Long strstr (char str, char substr);
- •Long strlen (char str);
- •Char form (char format,...);
- •Long xtol (char str);
- •Char atoa (long ea);
- •Char ltoa (long n,long radix);
- •Long atol (char str);
- •Разное char Compile (char filename);
- •Void Exit (long code);
- •Long Exec (char command);
- •Приложения кратко о загрузке файлов опции командной строки
Элемемены #Defenition
С каждым адресом виртуальной памяти связано 32-разрядное поле флагов (см. главу «Виртуальная память»). Флаги хранят содержимое ячейки, описывают ее представление и указывают на наличие связанных с ней объектов.
Содержимое ячейки: флаги хранят содержимое ячейки виртуальной памяти (в восьми младших битах) или указывают на то, что ячейка содержит неинициализированное значение (см. главу «Виртуальная память»).
Представление: флаги определяют будет ли отображаться данный байт в виде данных или машинной инструкции. Они так же позволяют уточнить в виде каких именно данных (массива, строки, переменной, непосредственного значения или смещения) он должен отображаться (см. главу «Типы элементов»)
Связанные объект: флаги указывают на наличие на наличие связанных с ячейкой объектов – меток, имен, комментариев и т.д. Сами объекты хранятся в отдельном виртуальном массиве, проиндексированного линейными адресами. В принципе без флагов, ссылающихся на объекты можно было бы и обойтись, но тогда бы пришлось при отображении каждой ячейки просматривать все виртуальные массивы на предмет поиска объектов, ассоциированных с данным линейными адресом, что отрицательно сказалось бы на производительности дизассемблера. Напротив, перенос этой информации в флаги позволяет ускорить работу – обращение к виртуальному массиву происходит только в тех случаях, когда с ячейкой заведомо связан какой-то объект. (см. главу «Объекты»)
Размер машинных инструкций и типов данных различен, и это не дает возможности быстро определить к какой инструкции (переменной) принадлежит ячейка с таким-то линейным адресом. Можно провести следующую аналогию – текст со словами не отделенными друг от друга пробелами из произвольной точки читать невозможно, поскольку неизвестно чем является та или иная буква – началом слова или его серединой.
Образно говоря, при дизассемблировании IDA разбивает исследуемый файл на «слова», в терминологии разработчиков - элементы.
Элементом называется последовательность смежных ячеек виртуальной памяти, содержащих одну самостоятельную конструкцию языка ассемблера, с которой можно оперировать как с одним целым, – инструкцию, строку, переменную и т.д.
Первая ячейка элемента называется головой, а все, последующие за ней – хвостом. Элементы единичной длины состоят только из головы и не имеют хвоста.
Признаком головы является ненулевое значение бита FF_DATA (см. таблицу 10) поля флагов. Соответственно признаком хвоста является нулевое значение бита FF_DATA и ненулевое значение бита FF_TAIL.
Свойства элемента определяются свойствами его головы. Свойства головы определяются флагами, связанными с данной ячейкой виртуальной памяти.
Существуют элементы двух видов – элементы кода (CODE) и элементы данных.(DATE).
Вид элемента задается сочетанием дух битов FF_DATA и FF_TAIL следующим образом (см. таблицу 11) – если бит головы (FF_DATA) установлен, то значение бита хвоста (FF_TAIL) интерпретируется типом элемента – его единичное значение задает тип CODE, в противном случае – DATA; напротив, если бит головы сброшен, единичное значение бита FF_TAIL трактуется признаком хвоста элемента; если же оба бита FF_DATA и FF_TAIL сброшены – элемент считается неопределенным (unexplored), т.е. несуществующим.
бит |
… |
A |
9 |
8 |
7 |
… |
1 |
0 |
|||
поле флагов |
поле содержимого |
||||||||||
обозначение |
… |
FF_DATA |
FF_TAIL |
FF_IVL |
MS_VAL |
||||||
назначение |
… |
Голова |
голова |
хвост |
==1 |
==0 |
содержимое ячейки |
||||
тип элемента |
признак хвоста |
инициализи рованный байт |
не инициализи рованный байт |
||||||||
==0 |
==1 |
==1 |
|||||||||
DATA |
CODE |
||||||||||
маска |
… |
0x400 |
0x200 |
0x100 |
0xFF |
||||||
Таблица 10 устройство элемента
|
FF_DATA |
||
0 |
1 |
||
FF_TAIL |
0 |
неопределенный элемент FF_UNK
|
элемент данных, голова FF_DATA
|
1 |
хвост элемента FF_FAIL
|
элемент кода, голова FF_CODE |
|
Таблица 11 Определение типа элемента
Хвостовые флаги в двенадцати старших битах содержат смещения относительно начала и конца элемента. Флаги, расположенные по четному линейному адресу – относительно конца, а флаги расположенные по нечетному линейному адресу – относительно его начала.
Это позволяет легко определить к какому элементу принадлежит такая-то ячейка, а так же узнать линейный адрес начла и конца элемента, на основании которых легко вычислить его длину.
Замечание: в файле <INCLUDE\Bytes.hpp>, входящим в IDA SDK определена функция, возвращающая значение хвостовых бит “inline ushort gettof(flags_t F) { return ushort((F & TL_TOFF) >> TL_TSFT); }”
Внимание: созвать новые объекты, использовать или изменять хвостовые биты может только ядро IDA, но не пользовательские модули! В противном случае это может привести к некорректной работе и зависанию дизассемблера.
Элементы могут существовать только внутри сегментов – попытка создания элемента по адресу, не принадлежащему ни одному сегменту, обречена на провал.